Отпремање евиденција на удаљени хост омогућава нам да централизујемо извештаје за више уређаја и да задржимо резервну копију извештаја ради истраживања у случају да нас нешто спречи да локално приступимо евиденцијама.
Овај водич приказује како поставити удаљени сервер за хостовање дневника и како их слати са клијентских уређаја и како класификовати или поделити дневнике у директоријуме према клијентском хосту.
Да бих следио упутства можете да користите виртуелни уређај, узео сам бесплатни ВПС од Амазон-а (ако вам је потребна помоћ око подешавања Амазон уређаја, на њему се налази сјајан наменски садржај на ЛинукХинт-у на хттпс: // линукхинт.цом / цатегори / авс /). Имајте на уму да се јавна ИП адреса сервера разликује од његове интерне ИП адресе.
Пре почетка:
Софтвер који се користи за даљинско слање дневника је рсислог, он се подразумевано испоручује на Дебиан-у и изведеним Линук дистрибуцијама, у случају да га немате покренут:
# судо апт инсталл рсислогСтање рсислог увек можете проверити покретањем:
# судо сервице рсислог статус
Као што видите статус на снимку екрана је активан, ако ваш рсислог није активан, увек га можете покренути покретањем:
# судо сервице рсислог стартИли
# системцтл старт рсислог
Белешка: За додатне информације о свим опцијама за управљање услугама Дебиан провјерите Зауставите, покрените и поново покрените услуге на Дебиану.
Покретање рсислог-а тренутно није релевантно, јер ћемо га морати поново покренути након уношења неких промена.
Како послати евиденције Линука на удаљени сервер: на страни сервера
Пре свега, на серверу уредите датотеку / етц / ресислог.цонф користећи нано или ви:
# нано / етц / рсислог.цонф
Унутар датотеке откажите коментар или додајте следеће редове:
модул (лоад = "имудп")улаз (типе = "имудп" порт = "514")
модул (лоад = "имтцп")
улаз (типе = "имтцп" порт = "514")
Изнад смо некоментарисали или додали пријеме дневника путем УДП-а и ТЦП-а, можете дозволити само један од њих или оба, кад се једном коментаришу или додају, мораћете да уредите правила заштитног зида како бисте дозволили долазне евиденције и омогућили пријем евиденција путем ТЦП покретања:
# уфв дозвољава 514 / тцп
Да бисте омогућили долазне евиденције кроз покретање УДП протокола:
# уфв дозволи 514 / удп
Да бисте омогућили и ТЦП и УДП, покрените две наредбе изнад.
Белешка: за више информација о УФВ можете прочитати Рад са Дебиан заштитним зидовима (УФВ).
Поново покрените рсислог услугу покретањем:
# судо сервице рсислог рестарт
Сада наставите на клијенту да конфигурише евиденције слања, а затим ћемо се вратити на сервер да побољшамо формат.
Како послати евиденције Линука на удаљени сервер: страна клијента
У евиденцији слања клијента додајте следећи ред, замењујући ИП 18.223.3.241 за ИП вашег сервера.
*.* @@ 18.223.3.241: 514
Изађите и сачувајте промене притиском на ЦТРЛ + Кс.
Једном уређено, поново покрените рсислог услугу покретањем:
# судо сервице рсислог рестарт
На страни сервера:
Сада можете да проверите евиденције унутар / вар / лог, приликом њиховог отварања приметићете помешане изворе за свој дневник, следећи пример приказује евиденције из Амазоновог интерног интерфејса и из Рсислог клијента (Монтсегур):
Зум то јасно показује:
Мијешање датотека није угодно, у наставку ћемо уредити рсислог конфигурацију како бисмо раздвојили евиденције према извору.
Да бисте разликовали евиденције унутар директоријума са именом клијентског хоста, додајте следеће редове на сервер / етц / рсислог.цонф да упути рсислог како да сачува удаљене дневнике, како би то урадио у рсислог-у.цонф додајте редове:
$ темплате РемотеЛогс, "/ вар / лог /% ХОСТНАМЕ% /.Пријава"*.* ?РемотеЛогс
& ~
Изађите из чувања промена притиском на ЦТРЛ + Кс и поново покрените рсислог на серверу:
# судо сервице рсислог рестарт
Сада можете да видите нове директоријуме, зване ип-172.31.47.212 који је АВС интерни интерфејс и други који се назива „монтсегур“ попут рсислог клијента.
У директоријумима можете пронаћи евиденције:
Закључак:
Даљинско евидентирање нуди одлично решење проблема који може срушити услуге ако се складиште сервера напуни евиденцијама, као што је речено на почетку, такође је неопходно у неким случајевима у којима систем може бити озбиљно оштећен без омогућавања приступа дневницима , у таквим случајевима удаљени сервер за евиденцију гарантује сисадмин приступ историји сервера.
Примена овог решења је технички прилично једноставна, па чак и бесплатна, с обзиром да нису потребни велики ресурси, а бесплатни сервери попут АВС бесплатних слојева су добри за овај задатак, ако повећате брзину преноса дневника, можете да дозволите само УДП протокол (упркос губитку поузданости). Постоје неке алтернативе Рсислогу-у попут: Флуме или Сентри, али рсислог остаје најпопуларнији алат међу Линук корисницима и сисадминима.
Надам се да вам је овај чланак о слању дневника Линука на удаљени сервер био користан.